Norme & Tributi

Protezione da estendere alle persone giuridiche

  • Abbonati
  • Accedi
analisi

Protezione da estendere alle persone giuridiche

Fotolia
Fotolia

Il 25 maggio prossimo entrerà in vigore il Regolamento Ue n.679 del 27 aprile 2016 sul trattamento dei dati personali. È encomiabile l’opera che, da alcune settimane, sta promuvendo il Sole 24 Ore per diffonderne la conoscenza.

Ciò attesa la diffusa inconsapevolezza dei cittadini, la preoccupazione delle imprese e i dubbi che istituzioni e in generale i giuristi si pongono riguardo alle modalità con cui sarà applicato e agli effetti che potrà dispiegare sugli atti della vita privata e sull’attività economica in generale.

Il regolamento fissa regole uniformi per tutti gli Stati membri ed è applicabile immediatamente non appena entra in vigore. Per adattarlo alla situazione normativa esistente nel nostro Paese le ipotesi astrattamente possibili sono tre: (i) entrata in vigore e contemporanea abrogazione esplicita del Codice della privacy; (ii) entrata in vigore e abrogazione implicita del Codice della privacy; (iii) entrata in vigore accompagnata da norme di dettaglio residuali del Codice della privacy e linee guida predisposte dall’Autorità garante perché il regolamento sia correttamente interpretato e applicato. La terza ipotesi è la più probabile, e all’ufficio del Garante starebbero lavorando in questo senso.

D’altra parte, se pensiamo che, sotto la guida di Stefano Rodotà, il Codice della privacy italiano rappresentava la disciplina più coerente, sistematica e avanzata rispetto agli altri modelli europei, appare opportuno che la preziosa esperienza accumulatasi nel frattempo non vada dispersa e che il regolamento non abbassi il livello di protezione della privacy e dei dati personali che il modello italiano aveva raggiunto. Ogni discussione al riguardo è utile, in quanto il regolamento non è scritto in modo preclaro, lascia adito a dubbi interpretativi e compie alcune scelte di base che potrebbero apparire discutibili a quanti si preoccupano della tutela del diritti fondamentali in ambito europeo e nazionale.

Questi temi sono emersi in un convegno organizzato da Nadia Zorzi Galgano alla Facoltà di Economia dell’Università di Bologna alcuni giorni fa, ma molte Università si stanno già attrezzando per commentare il regolamento. Il quale cerca di bilanciare i diritti della persona, particolarmente pregnanti in quanto investono l’identità digitale (le vicende di Facebook sono una spia gigantesca dei pericoli in cui può incorrere ciascuno di noi), la profilazione e quindi la costruzione della persona come potenziale consumatore di beni e servizi nel mercato digitale, la libertà di circolazione dei dati subordinata alla loro garanzia e tutela. In poche parole, il regolamento appare come un elenco di diritti garantiti al titolare dei dati e di obblighi che debbono osservare quanti si occupano della raccolta, del trattamento e della circolazione di quei dati, ma in realtà
bilancia i diritti fondamentali – difesi addirittura a livello di Carta dei diritti Ue (all’articolo 8) con i diritti del mercato,
difesi dai Trattati.

Il bilanciamento non è semplice, come dimostra l’ambiguità dell’articolo 1 del regolamento che, da un lato, «protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali» (comma 2) e dall’altro dispone però che «la libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali» (comma 3). Ora, se si può apprezzare il regolamento per i limiti alla profilazione, per l’inserzione nel catalogo dei diritti del diritto all’oblìo, per la conferma della responsabilità oggettiva di chi tratta i dati, appare preoccupante la libertà che il regolamento assicura ad ogni titolare di negoziare la cessione dei propri dati, per ottenere non solo i vantaggi
utili per acquisire beni e
servizi necessari alla vita quotidiana, ma anche per
farne fonte di lucro.

In più, non si comprende perché la tutela dei dati riguardi solo le persone fisiche e non anche le persone giuridiche, atteso che i diritti della personalità sono ormai estesi in tutti gli ordinamenti anche agli enti collettivi: le persone giuridiche non sono che uno schermo, una funzione, dietro la quale operano pur sempre persone fisiche.

È opportuno richiamare a questo proposito un documento che spesso si tende a ignorare, e che invece dovrebbe essere letto come una guida interpretativa del regolamento: mi riferisco alla Comunicazione della Commissione al Parlamento europeo e al Consiglio sullo «scambio e protezione dei dati personali in un mondo globalizzato» (COM 2017 n.7 final, del 10.1.2017). In questo documento la Commissione insiste soprattutto sulla circolazione extracomunitaria dei dati, preoccupandosi che essi siano adeguatamente tutelati perché non possano essere pregiudicati dal loro trasferimento in aree in cui non godono di analoga tutela (come accade ad esempio negli Usa). Ma il documento sottolinea in particolare che «il rispetto della privacy è una condizione necessaria per flussi commerciali stabili, sicuri e competitivi a livello mondiale». E aggiunge un mònito sul quale vorremmo richiamare l’attenzione del nostro governo (che si appresta a esercitare la delega per l’adeguamento della normativa nazionale alle disposizioni del regolamento ex articolo 13 della legge 163/2017): la privacy non è merce di scambio (p.6) (…) e negli accordi commerciali la protezione dei dati personali non è negoziabile (p.7). Principi che erano già stati esposti dalla Commissione in «Commercio per tutti - Verso una politica commerciale e di investimento più responsabile» (COM 2015 n. 497 final del 14.10.2015) e che erano stati tenuti presenti nella negoziazione del Ttip, poi
fallita per il cambiamento di rotta della nuova amministrazione Usa.

La morale è che i dati personali debbono essere “presi sul serio”, come tutti i diritti fondamentali; una volta che siano violati, ogni forma di risarcimento è solo un palliativo, perché la persona non potrebbe essere posta nella medesima condizione in cui si sarebbe trovata se l’illecito non fosse stato commesso. Lo dovrebbero ricordare le imprese ma anche gli stessi titolari dei dati, cioè i cittadini comuni, che sembrano ignari, o forse rassegnati alle esigenze di un mercato sempre più aggressivo e indifferente ai diritti della persona.

© Riproduzione riservata